Windows 最新缺陷

一、简介

　　Windows研究人员发现Windows缺陷，赋予黑客类似Rootkit的能力。

二、事件基本情况

　　新研究发现，威胁行为者可以利用DOS到NT路径转换过程来实现类似 rootkit的功能，以隐藏和模拟文件、目录和进程。

　　SafeBreach安全研究员 Or Yair在黑帽大会上发表的一份分析报告中表示：当用户在 Windows中执行带有路径参数的函数时，文件或文件夹所在的 DOS 路径将转换为 NT 路径。

　　在此转换过程中，存在一个已知问题，即该函数会删除任何路径元素中的尾随点以及最后一个路径元素中的任何尾随空格。此操作由 Windows中的大多数用户空间 API 完成。

　　这些所谓的 MagicDot 路径允许任何非特权用户访问类似rootkit的功能，然后这些用户可以将其武器化，在没有管理员权限的情况下执行一系列恶意操作，并且不会被发现。

　　它们包括“隐藏文件和进程、隐藏档案中的文件、影响预取文件分析、使任务管理器和Process Explorer用户认为恶意软件文件是Microsoft发布的经过验证的可执行文件、通过拒绝服务(DoS)禁用 Process Explorer”的功能)漏洞等等。

　　DOS到NT路径转换过程中的根本问题还导致发现了四个安全缺陷，其中三个缺陷已由Microsoft解决。

　　权限提升(EoP)删除漏洞，可用于删除没有所需权限的文件(将在未来版本中修复)

　　权限提升(EoP)写入漏洞，可用于通过篡改卷影副本中先前版本的恢复过程来在没有所需权限的情况下写入文件(CVE-2023-32054，CVSS 评分：7.3)

　　远程代码执行 (RCE) 漏洞，可用于创建特制存档，在攻击者选择的任何位置提取文件时可能导致代码执行(CVE-2023-36396，CVSS评分：7.8)

　　使用名称长度为 255个字符且没有文件扩展名的可执行文件启动进程时，存在影响ProcessExplorer的拒绝服务 (DoS) 漏洞 (CVE-2023-42757)